Gestió de permisos a SharePoint i Teams: el caos silenciós de moltes empreses

Gestió de permisos a SharePoint i Teams: el caos silenciós de moltes empreses
Índex de continguts

Els permisos a Microsoft 365 solen créixer de manera silenciosa. Un usuari comparteix una carpeta a SharePoint, un altre crea un equip a Teams, algú convida un col·laborador extern, es generen enllaços d’accés i, a poc a poc, l’empresa deixa de tenir clar qui pot veure, editar o descarregar determinada informació.

El problema no sol aparèixer el primer dia. Microsoft 365 facilita la col·laboració, i això és positiu. El risc arriba quan aquesta col·laboració no va acompanyada d’una gestió de permisos ordenada, revisada i alineada amb les necessitats reals del negoci.

En moltes empreses, SharePoint i Teams s’han convertit en el repositori principal de documentació: contractes, propostes comercials, dades de clients, documentació interna, informació financera, procediments, projectes i arxius compartits amb proveïdors. Si els permisos no estan ben definits, el risc no és només tècnic. També afecta la confidencialitat, el compliment normatiu i la continuïtat operativa.

En aquest article expliquem per què la gestió de permisos a SharePoint i Teams s’ha de tractar com una prioritat de sistemes i ciberseguretat, quins errors són més habituals i com una empresa pot recuperar el control abans que el desordre es converteixi en una bretxa de seguretat.

Permisos a Microsoft 365: col·laboració sí, descontrol no

Microsoft 365 està dissenyat perquè els equips puguin treballar de manera àgil. SharePoint permet gestionar documents i llocs interns. Teams centralitza converses, reunions, canals i arxius. OneDrive facilita el treball individual i l’intercanvi puntual d’informació.

Però aquesta flexibilitat també implica responsabilitat. Cada lloc, biblioteca, carpeta, canal, equip, enllaç compartit o usuari convidat pot modificar el mapa real d’accés a la informació.

Microsoft diferencia diferents models de permisos a SharePoint, com propietaris, membres i visitants, i permet assignar accessos mitjançant usuaris individuals, grups de seguretat o grups de Microsoft 365. En llocs connectats a Teams, la gestió de permisos pot dependre del grup de Microsoft 365 associat a l’equip.

Això significa que un canvi aparentment senzill, com afegir un usuari a un equip de Teams, pot donar-li accés a arxius emmagatzemats a SharePoint. I, si no existeix una política clara, l’empresa pot acabar amb permisos duplicats, heretats o concedits directament a persones que ja no haurien d’accedir a aquesta informació.

Per què SharePoint i Teams es desordenen amb tanta facilitat

El caos de permisos a Microsoft 365 no sol ser conseqüència d’una única mala decisió. Normalment apareix per acumulació de petites accions quotidianes que ningú revisa de manera global.

Algunes situacions habituals són:

  • Equips de Teams creats sense una nomenclatura ni responsables clars.
  • Canals privats utilitzats per separar informació sensible sense revisar-ne els membres.
  • Carpetes de SharePoint amb permisos únics que trenquen l’herència del lloc.
  • Usuaris convidats que continuen tenint accés quan finalitza un projecte.
  • Enllaços compartits que circulen per correu, xat o reunions sense control posterior.
  • Propietaris d’equips que canvien de departament o deixen l’empresa.
  • Grups de seguretat mal mantinguts o reutilitzats per a finalitats diferents.

El resultat és una falsa sensació d’ordre. L’empresa creu que els seus documents estan protegits perquè són dins de Microsoft 365, però en realitat no sap amb precisió qui té accés efectiu a cada recurs.

Els enllaços compartits: un dels punts més delicats

Un dels elements més sensibles en la gestió de permisos a SharePoint són els enllaços compartits. Microsoft diferencia diversos tipus d’enllaços, com enllaços per a qualsevol persona, enllaços per a persones de l’organització i enllaços per a persones concretes. Cadascun té implicacions diferents en seguretat i traçabilitat.

Els enllaços de tipus “qualsevol persona” són especialment delicats perquè permeten accedir al contingut a qui tingui l’enllaç, sense necessitat d’autenticar-se. Microsoft els descriu com a enllaços transferibles i revocables, però adverteix que l’accés mitjançant aquest tipus d’enllaç no es pot auditar de la mateixa manera que un accés autenticat.

En una empresa, això es pot convertir en un problema quan es comparteixen documents amb clients, proveïdors o col·laboradors externs sense establir caducitat, sense restringir la descàrrega o sense revisar posteriorment si aquell enllaç continua actiu.

Per això, una política segura no s’ha de limitar a “permetre o bloquejar compartir”. Ha de definir quin tipus d’enllaços es poden utilitzar, en quins llocs, amb quins usuaris, durant quant de temps i sota quines condicions.

Usuaris convidats a Teams: necessaris, però amb control

L’accés de convidats a Teams és molt útil per treballar amb clients, proveïdors o partners. Permet col·laborar en equips, canals, documents, xats i aplicacions sense haver de crear un compte intern complet per a cada col·laborador extern.

Microsoft indica que, en convidar un usuari extern a Teams, es crea un compte de convidat a Microsoft Entra ID, i aquest usuari queda cobert per mecanismes de compliment i auditoria de Microsoft 365. També es poden aplicar polítiques com l’accés condicional o l’autenticació multifactor per a usuaris B2B.

El problema apareix quan aquests convidats s’hi queden indefinidament. Un proveïdor que va participar en un projecte fa un any, un consultor extern que ja no treballa amb l’empresa o un client que només necessitava accés temporal poden continuar apareixent en equips, grups o llocs si ningú revisa el seu cicle de vida.

La col·laboració externa s’ha de gestionar amb data d’inici, objectiu, responsable intern i revisió periòdica. No n’hi ha prou amb convidar usuaris: cal saber quan deixen de necessitar accés.

Permisos únics a SharePoint: quan l’estructura deixa de ser comprensible

SharePoint permet trencar l’herència de permisos i assignar accessos específics a biblioteques, carpetes o arxius. Aquesta funcionalitat pot ser útil en escenaris concrets, però el seu abús genera entorns difícils d’administrar.

Quan cada carpeta té permisos diferents, l’equip d’IT perd visibilitat. Revisar qui accedeix a què deixa de ser senzill. A més, qualsevol canvi organitzatiu obliga a revisar múltiples nivells de permisos, amb el risc de deixar accessos residuals.

Microsoft estableix límits per als permisos únics en llistes o biblioteques de SharePoint. Tot i que el límit suportat és alt, la recomanació general és no superar els 5.000 permisos únics per llista o biblioteca, precisament per evitar problemes de gestió i rendiment.

A la pràctica, una empresa no hauria d’esperar a acostar-se a aquests límits. Si una biblioteca documental necessita massa excepcions, probablement el problema no és a SharePoint, sinó en el disseny de l’estructura d’informació.

Riscos reals d’una mala gestió de permisos a Microsoft 365

Una gestió deficient de permisos no sempre provoca una caiguda de servei. Per això passa desapercebuda. Tot i així, pot obrir la porta a riscos importants per a l’empresa.

  • Fuita d’informació sensible: documents interns accessibles per a persones que no haurien de veure’ls.
  • Exposició de dades personals: risc d’incompliment del RGPD si es comparteixen dades de clients, empleats o proveïdors sense control.
  • Pèrdua de confidencialitat comercial: ofertes, marges, contractes o estratègies disponibles per a perfils no autoritzats.
  • Accessos residuals: antics empleats, convidats o proveïdors amb permisos actius.
  • Dificultat d’auditoria: impossibilitat de respondre ràpidament a la pregunta “qui ha tingut accés a aquest document”.
  • Major impacte davant d’un compte compromès: si un usuari té més permisos dels necessaris, un atac sobre el seu compte pot afectar més informació.

En ciberseguretat, el principi de mínim privilegi és clau: cada usuari ha de tenir només els permisos necessaris per fer la seva feina. A Microsoft 365, això implica revisar no només les llicències o els comptes actius, sinó també els llocs, equips, grups, enllaços i convidats.

Com recuperar el control de permisos a SharePoint i Teams

La gestió de permisos a Microsoft 365 no s’ha d’abordar com una neteja puntual. Ha de convertir-se en un procés de govern continu, amb responsables clars i revisions periòdiques.

1. Inventariar llocs, equips i propietaris

El primer pas és saber què existeix. Moltes empreses tenen equips de Teams duplicats, llocs de SharePoint antics, espais creats per a projectes finalitzats o propietaris que ja no són a l’organització.

Convé crear un inventari amb:

  • Nom de l’equip o lloc.
  • Departament o projecte associat.
  • Propietari funcional.
  • Propietari tècnic.
  • Tipus d’informació emmagatzemada.
  • Usuaris interns amb accés.
  • Usuaris externs o convidats.
  • Nivell de sensibilitat de la informació.

2. Revisar convidats i accessos externs

Els convidats s’han de revisar amb especial atenció. No tots els accessos externs són un risc, però tots han de tenir una justificació.

És recomanable comprovar quins convidats existeixen, a quins equips pertanyen, quan es van crear, qui els va convidar i si continuen tenint una necessitat real d’accés.

3. Limitar els enllaços compartits

Els enllaços compartits s’han de configurar segons el nivell de sensibilitat de la informació. En molts entorns empresarials, convé prioritzar enllaços per a persones concretes davant d’enllaços amplis o anònims.

També és recomanable aplicar caducitat, restringir la descàrrega quan correspongui i evitar que els usuaris puguin compartir externament des de llocs que contenen informació crítica.

4. Evitar permisos individuals sempre que sigui possible

Assignar permisos directament a usuaris concrets pot semblar ràpid, però complica l’administració. Sempre que sigui possible, és millor treballar amb grups ben definits: direcció, administració, comercial, operacions, suport, projectes o grups específics per client.

Això facilita altes, baixes, canvis de departament i revisions periòdiques. També redueix errors quan una persona canvia de funció dins de l’empresa.

5. Activar auditoria i revisar activitat

Microsoft Purview permet consultar activitats registrades al registre d’auditoria de Microsoft 365, inclosa l’activitat d’usuaris i administradors a Teams i altres serveis. Microsoft indica que el registre d’auditoria està activat per defecte a les organitzacions Microsoft 365, tret que aparegui un avís indicant el contrari.

L’auditoria no substitueix una bona política de permisos, però ajuda a investigar accessos, canvis, comparticions i comportaments anòmals. Perquè sigui útil, ha de formar part d’un procés de revisió, no consultar-se només quan ja ha passat una incidència.

Bones pràctiques per a una política de permisos a Microsoft 365

Una política de permisos eficaç ha de ser comprensible per a usuaris i administradors. Si és massa complexa, ningú l’aplicarà correctament. Si és massa permissiva, deixarà buits de seguretat.

Aquestes bones pràctiques ajuden a establir una base sòlida:

  • Definir una nomenclatura clara per a equips, llocs i grups.
  • Assignar sempre almenys dos propietaris responsables per equip o lloc.
  • Evitar que qualsevol usuari pugui crear equips sense control si l’empresa necessita govern centralitzat.
  • Classificar la informació segons la sensibilitat: pública interna, confidencial, crítica o regulada.
  • Configurar polítiques diferenciades per a llocs interns, projectes amb clients i documentació sensible.
  • Revisar usuaris convidats de forma periòdica.
  • Eliminar accessos quan finalitza un projecte o relació contractual.
  • Documentar qui pot aprovar permisos especials.
  • Auditar canvis rellevants en permisos i compartició.
  • Formar els usuaris sobre l’ús correcte dels enllaços compartits.

La tecnologia ofereix les eines, però el control real arriba quan es combinen configuració, procediment i seguiment.

Com pot ajudar Inmove IT Solutions

A Inmove IT Solutions ajudem les empreses a revisar, ordenar i protegir els seus entorns Microsoft 365 des d’una visió pràctica: seguretat, continuïtat, productivitat i compliment.

Una revisió de permisos pot incloure l’anàlisi de SharePoint, Teams, OneDrive, grups de Microsoft 365, usuaris convidats, enllaços compartits, polítiques d’accés extern i configuració d’auditoria. L’objectiu no és bloquejar la col·laboració, sinó assegurar que cada usuari accedeix només al que necessita.

Aquest tipus de treball encaixa especialment bé dins d’una auditoria de sistemes IT, on es revisa l’estat real de l’entorn tecnològic i s’identifiquen punts de millora.

També està directament relacionat amb la protecció de dades i compliment RGPD, ja que una mala gestió de permisos pot exposar informació personal o confidencial sense que l’empresa en sigui conscient.

I, des d’una perspectiva de seguretat global, s’ha de complementar amb mesures de seguretat perimetral per a empreses, control d’identitats, autenticació multifactor, monitorització i polítiques d’accés ben definides.

Conclusió: els permisos també són ciberseguretat

La seguretat de Microsoft 365 no depèn només de contrasenyes robustes, antivirus o firewalls. També depèn d’una cosa molt més quotidiana: qui pot accedir a cada document, des d’on, durant quant de temps i amb quin nivell de permís.

SharePoint i Teams són eines molt potents per millorar la col·laboració empresarial, però necessiten govern. Sense una gestió adequada, els permisos s’acumulen, els convidats romanen, els enllaços s’obliden i l’empresa perd visibilitat sobre la seva pròpia informació.

Revisar els permisos a Microsoft 365 no és una tasca administrativa menor. És una mesura de seguretat, compliment i control operatiu.

Si la teva empresa utilitza SharePoint, Teams o OneDrive i no té clar qui accedeix a quina informació, a Inmove IT Solutions podem ajudar-te a revisar l’entorn, ordenar els permisos i establir una política d’accés segura i sostenible.

Per a qualsevol cosa, contacta amb nosaltres i t’ajudarem a valorar l’estat actual del teu Microsoft 365 amb una visió tècnica, pràctica i orientada a negoci.

Preguntes freqüents sobre permisos a Microsoft 365

Per què és important revisar els permisos a SharePoint i Teams?

Perquè SharePoint i Teams concentren gran part de la documentació empresarial. Si els permisos no es revisen, poden quedar accessos actius per a usuaris que ja no els necessiten, convidats externs, antics empleats o persones d’altres departaments.

Quina diferència hi ha entre permisos a Teams i permisos a SharePoint?

Teams utilitza SharePoint per emmagatzemar els arxius dels equips i canals. Per això, afegir un usuari a un equip de Teams pot donar-li accés a documents emmagatzemats al lloc de SharePoint associat. La gestió s’ha de revisar de manera conjunta.

És perillós compartir arxius mitjançant enllaços?

No sempre, però depèn del tipus d’enllaç. Els enllaços per a persones concretes ofereixen més control que els enllaços amplis o anònims. En documentació sensible, convé restringir el tipus d’enllaç, aplicar caducitat i revisar periòdicament els accessos compartits.

Cada quant temps s’hauria de revisar l’accés d’usuaris convidats?

Depèn del nivell de col·laboració externa, però com a mínim s’hauria de revisar de forma periòdica i sempre en finalitzar projectes, contractes o relacions amb proveïdors. Els convidats no haurien de romandre indefinidament sense justificació.

Una auditoria de permisos ajuda al compliment del RGPD?

Sí. Una auditoria de permisos permet detectar accessos excessius o inadequats a informació personal o confidencial. Això ajuda a reduir riscos d’exposició de dades i a reforçar les mesures organitzatives i tècniques exigides pel RGPD.

    T'agrada? Comparteix aquesta entrada:

    SUPORT

    Necessites Assistència?

    El nostre equip està a punt per a ajudar-te a través del nostre programa de teleassistència, oferint suport remot per a resoldre els teus problemes ràpidament i millorar l'eficiència dels teus sistemes informàtics.
    Equipo profesional de soporte técnico informático

    Potser també t'interessa...